传英特尔对Meltdown、Spectre漏洞知情不报数个月

时间:2018-02-24 07:22:03 来源:芜湖网
默认
特大
宋体
黑体
雅黑
楷体
条评论

英特尔对CPU漏洞的因应态度不够积极,引起科技巨头们的联名指责。路透社今天 报导 ,苹果和Alphabet两公司本周致函美国众议员,状告英特尔早在去年年中就已获报Meltdown、Spectre三个漏洞,但却没有通报美国资安主管机关。

本信是两大科技公司写给众议员能源与商务委员会主席Greg Walden,随后由路透社取得,Walden曾在稍早质疑科技公司何时获知漏洞消息。信中指出,Alphabet旗下Google的安全研究团队Project Zero早在6月就已发现CPU中的三项漏洞,并分别通知英特尔、AMD及ARM三家晶片业者。

按照Project Zero的作业原则,它会给出现漏洞的业者90天宽限期,让他们有时间修补漏洞。时间一到就会公开发表。至于是否通知主管机关,Google则留给厂商自行决定。

不过英特尔并未通报美国电脑紧急事件应变小组,直到事件经媒体报导披露而爆发。事实上,Google已经将宽限期由90天大幅延长到1月3日,再到1月9日。

信中指出,英特尔之所以没有通报政府,原因是“没有迹象显示这些漏洞已经遭恶意人士开采”。此外英特尔也未分析这些漏洞是否为危害重要基础架构,因为该公司认为不会影响工控系统。但英特尔说他们仍通报了使用其晶片的科技业者。

英特尔、苹果及Alphabet皆未对此回应媒体。

1月3日爆发的Meltdown、Spectre漏洞虽然还未传出攻击,但已让所有IT业者,从晶片、作业系统、OEM、工控系统及云端业者忙翻,赶忙修补CPU的漏洞。但因为CPU层的修补造成系统效能大幅降低、当掉、或重开机,致使厂商撤回第一波的更新程式,企业及个人用户也不敢安装。

事实上,英特尔受影响的产品不只有当初公布的Broadwell及Haswell,而是几乎所有主要系列。英特尔直到本月才逐步修补 Skylake 及 Kaby Lake、Coffee Lake平台 的晶片释出更新程式。

Copyright © 2012-2019 芜湖网 版权所有 皖ICP备18025966号 关于我们 | 广告服务 | 诚聘英才 | 联系我们 | 滚动新闻 | 免责申明